警惕!IceFire 勒索軟件開始針對Linux系統了
最近發現基于Windows的勒索軟件IceFire現在開始針對多個領域的Linux企業網絡。
SentinelLabs的研究人員發現了IceFire勒索軟件新的Linux版本。該勒索軟件最初只針對基于Windows的系統,主要是針對技術公司。IceFire于2022年3月首次被MalwareHunterTeam的研究人員發現,但該組織自2022年8月起便開始活躍在暗網上。
專家們觀察到IceFire利用IBM Aspera Faspex文件共享軟件(CVE-2022-47986,CVSS評分:9.8)的反序列化漏洞來部署勒索軟件。
大多數IceFire攻擊事件主要發生在土耳其、伊朗、巴基斯坦和阿拉伯聯合酋長國。專家指出,這些國家通常不是勒索組織行動的重點。
SentinelOne研究人員成功地測試了IceFire Linux版本對基于英特爾的Ubuntu和Debian發行版。該勒索軟件成功加密了一臺運行IBM Aspera Faspex文件服務器軟件的CentOS主機。該勒索軟件對文件進行加密,并在文件名上附加".ifire "擴展名,然后通過刪除二進制文件來自我刪除。
IceFire不加密帶有".sh "和".cfg "擴展名的文件,它還避免加密某些文件夾,以便受感染的機器繼續可用。
通過分析,位于/home/[user_name]/的用戶配置文件目錄看到的加密活動最多。IceFire針對用戶和共享目錄(例如,/mnt,/media,/share)進行加密;這些是文件系統中未受保護的部分,不需要提升權限來寫入或修改。
該勒索軟件的Windows版本通過網絡釣魚信息傳播,并使用開發后的工具包進行透視。Linux變體仍處于早期階段。
專家指出,在報告發布時,IceFire二進制文件被0/61個VirusTotal引擎檢測到。贖金票據包含硬編碼的憑證,用于登錄托管在Tor隱藏服務上的贖金支付門戶。
IceFire的這一演變證實了針對Linux的勒索軟件在2023年會繼續流行。Linux勒索軟件,包括BlackBasta、Hive、Qilin、Vice Society aka HelloKitty等。
專家總結道:與Windows相比,Linux更難以部署勒索軟件,特別是在規模上。為了克服這一點,攻擊者轉變方向,利用應用程序的漏洞,正如IceFire運營商通過IBM Aspera漏洞部署有效載荷所證明的那樣。
